ส่องกม.ป้ายแดง ‘PDPA’ 1มิ.ย.65 บังคับใช้ คุ้มครองข้อมูลส่วนตัว

ในวงการดิจิทัลหลายคนอาจจะเคยได้ยินกฎหมาย “GDPR” กับ “PDPA” มาบ้างไม่มากก็น้อย โดยเฉพาะ “GDPR” หรือที่ย่อมาจาก “General Data Protection Regulation” ซึ่งก็คือ ข้อบังคับในกฎหมายของสหภาพยุโรป (อียู) และเขตเศรษฐกิจยุโรป (อีอีเอ) ว่าด้วยการคุ้มครองข้อมูลความเป็นส่วนตัว โดยมีเป้าหมาย คือ การปกป้องพลเมืองของสหภาพยุโรปทั้งหมดจากการโดนละเมิดความเป็นส่วนตัว นอกจากนี้ ยังรวมถึงการถ่ายโอนข้อมูลส่วนบุคคลนอกเขตอียูและอีอีเอด้วย โดยจะกลายระเบียบใหม่ของโลก เพราะบังคับใช้ในไทยอย่างเลี่ยงไม่ได้ โดยเฉพาะกรณีที่มีการแลกเปลี่ยนรับ-ส่งข้อมูลกับประเทศในอียู ซึ่งประกาศใช้แล้วตั้งแต่วันที่ 25 พฤษภาคม 2561

ส่วน “PDPA” นั้น ย่อมาจาก “Personal Data Protection Act” หรือพระราชบัญญัติ (พ.ร.บ.) คุ้มครองข้อมูลส่วนบุคคล ถอดแบบมาจากกฎหมาย GDPR ประกาศไว้ในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 โดยจะให้ความคุ้มครองข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ บัญชีธนาคาร อีเมล์ ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ ประวัติสุขภาพ เป็นต้น

ซึ่งข้อมูลเหล่านี้สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้ ซึ่งจะนำไปใช้กับองค์กรที่อยู่ในหรือนอกประเทศไทย เพื่อให้มั่นใจว่าข้อมูลของเราจะไม่ถูกซื้อขายเหมือนผักปลา ทั้งนี้ หากไทยไม่มีกฎหมายที่มีมาตรฐานไม่น้อยกว่ากฎหมาย GDPR อาจถูกตั้งกำแพงภาษี ซึ่งอนาคตอันใกล้จะกลายเป็นกฎกติกาการค้าระหว่างประเทศ ช่วยยกศักยภาพขององค์กรในประเทศให้เป็นตามมาตรฐานสากล ประกาศให้โลกรู้ว่า ไทยยอมรับว่าการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นสิทธิพื้นฐาน

เธียรชัย ณ นคร ประธานกรรมการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ระบุว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 จะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้แน่นอน หลังจากที่ได้เลื่อนการประกาศใช้มาแล้ว 2 ปี โดยจะเร่งเดินหน้าให้ความรู้และสร้างความตระหนัก ในเรื่องสิทธิของเจ้าของข้อมูลส่วนบุคคลแก่ประชาชน และส่งเสริมให้องค์กรภาครัฐและเอกชนตระหนักถึงการต้องปฏิบัติตามกฎหมายฉบับนี้ เนื้อหาหลักของกฎหมายฉบับนี้ คือ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลใดจะต้องมีการขอจากเจ้าของข้อมูลส่วนบุคคล หรือตามที่มีการบัญญัติไว้ในกฎหมายฉบับนี้ จะต้องมีการบอกกล่าวถึงวัตถุประสงค์ในการนำข้อมูลไปใช้ และใช้ตรงตามวัตถุประสงค์ที่ระบุ อีกทั้งยังให้ความสำคัญกับการให้สิทธิแก่ “เจ้าของข้อมูลส่วนบุคคล” ที่สามารถขอให้เปลี่ยนแปลง แก้ไข ขอสำเนาขอให้ลบได้ หากไม่ขัดกับหลักการหรือข้อกฎหมายใดๆ และองค์กรที่ได้ข้อมูลส่วนบุคคลมาจะต้องมีมาตรการและมาตรฐานในการบริหารจัดการดูแลข้อมูลเหล่านี้อย่างเหมาะสมและปลอดภัย

ประเทศไทยมีความจำเป็นที่จะต้องมีกฎหมายฉบับนี้ เพราะการคุ้มครองข้อมูลส่วนบุคคลเป็นหลักสากลที่ประเทศต่างๆ ให้ความสำคัญ โดยเฉพาะคู่ค้าสำคัญของประเทศไทยที่ต่างนำหลักการคุ้มครองข้อมูลส่วนบุคคลมาตราเป็นกฎหมายเพื่อคุ้มครองประชาชนในประเทศของตนเอง เริ่มจากอียูที่บังคับใช้กฎหมาย GDPR ตั้งแต่ปี 2561 ทำให้ประเทศต่างๆ เริ่มมีกฎหมายลักษณะเดียวกัน เช่น สิงคโปร์ มาเลเซีย อินโดนีเซีย ฟิลิปปินส์ ญี่ปุ่น เกาหลีใต้ ไต้หวัน ฮ่องกง และจีน

ขณะเดียวกัน ประเทศไทยมีการละเมิดข้อมูลส่วนบุคคลเพิ่มมากขึ้นและองค์กรต่างๆ ไม่ตระหนักถึงการรักษาความปลอดภัยของข้อมูลที่เก็บจากประชาชนหรือลูกค้าของตนทำให้ข้อมูลมีการรั่วไหลออกไปยังผู้ที่ไม่ประสงค์ดีต่อเจ้าของข้อมูลส่วนบุคคล การมีกฎหมาย PDPA นอกจากจะช่วยในการคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลแล้ว ยังทำให้องค์กรที่เก็บข้อมูลส่วนบุคคลต้องมีการทบทวนถึงความจำเป็นของการเก็บประมวลผล และใช้ข้อมูลว่ามีความจำเป็นมากน้อยเพียงใดต้องให้ความสำคัญกับข้อมูลส่วนบุคคลว่าได้มาอย่างไร เก็บรักษาอย่างไรและใช้อย่างไร เพื่อลดต้นทุนในการบริหารจัดการ การเก็บ ประมวลผล และใช้ รวมทั้งให้สิทธิแก่เจ้าของข้อมูลและการรักษาความปลอดภัยของข้อมูลซึ่งจะทำให้องค์กรสามารถใช้ประโยชน์จากข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพในระยะยาว

ความเป็นสากลของการคุ้มครองข้อมูลส่วนบุคคลที่ระบุใน PDPA ยังเป็นเครื่องมือหนึ่งที่จะช่วยให้การทำธุรกิจที่อาศัยข้อมูลผ่านสื่อ และอุปกรณ์ดิจิทัลระหว่างไทยกับประเทศต่างๆ เป็นไปโดยราบรื่น มีฐานะที่เท่าเทียมกัน และทำให้ไม่ว่าองค์กรต่างๆ ที่อยู่ต่างประเทศ หากมีการเก็บข้อมูลคนในประเทศไทยต้องปฏิบัติตามกฎหมายฉบับนี้ ถ้าเราทำให้ต่างประเทศมั่นใจในมาตรการสิ่งที่ตามมา คือ ความมั่นใจในการลงทุน” เธียรชัยระบุ เธียรชัยกล่าวด้วยว่า มีหลายๆ องค์กรกังวลกับกฎหมายฉบับนี้ว่ามีบทลงโทษที่มากเกินไป อาทิ การลงโทษทางอาญาที่มีโทษจำคุกสูงสุด 1 ปี หรือโทษทางปกครองที่ปรับได้ถึง 5 ล้านบาท และคิดว่าการลงโทษแบบนี้ในต่างประเทศไม่มี ซึ่งโดยข้อเท็จจริงแล้วหลายประเทศในอาเซียนมีบทลงโทษทางอาญาเช่นกัน ส่วนโทษทางปกครองนั้นทางคณะกรรมการกำลังยกร่างเพื่อกำหนดโทษแบบจากเบาไปหาหนักเพื่อไม่ให้สร้างความตระหนกแก่องค์กรต่างๆ มากเกินไป

สำหรับช่วงก่อนวันที่ 1 มิถุนายนนี้ ทางคณะกรรมการจะทยอยประกาศกฎหมายรองที่จะทำให้เกิดความชัดเจนในการปฏิบัติซึ่งจะทำให้องค์กรต่างๆ ปรับตัวเข้าสู่การใช้ PDPA ได้อย่างราบรื่น ภายใต้กฎหมายดังกล่าวจะมีกฎหมายลูกประมาณ 30 ฉบับ ซึ่งอยู่ระหว่างการพิจารณาของคณะอนุกรรมการกฎหมายและจะทยอยประกาศใช้ เธียรชัยระบุด้วยว่า สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะสามารถตั้งอย่างเป็นทางการได้ประมาณเดือนกันยายน 2565 ด้วยอัตราพนักงาน 200 คน ขณะนี้อยู่ระหว่างกระบวนการสรรหาเลขาธิการ

โดยสำนักงานมีคณะกรรมการกำกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเป็นผู้บริหารงานประกอบด้วยกรรมการผู้ทรงคุณวุฒิ 7 คน ได้แก่ นายปริญญา หอมเอนก ด้านการคุ้มครองข้อมูลส่วนบุคคล นายเขมทัตต์ พลเดช ด้านการคุ้มครองข้อมูลส่วนบุคคล พล.ต.ต.กฤษศักดิ์ สงมูลนาค ด้านการคุ้มครองข้อมูลส่วนบุคคล นายสมหมาย ลักขณานุรักษ์ ด้านบริหาร นายสาระ ล่ำซำ ด้านการตรวจสอบ นายปรนนท์ ฐิตะวรรโณ ด้านเศรษฐกิจและสังคม และ พล.อ.เดชา พลสุวรรณ เป็นประธานกรรมการ นอกจากนี้ ยังมีกรรมการโดยตำแหน่ง 2 คน ได้แก่ น.ส.อัจฉรินทร์ พัฒนพันธ์ชัย ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) และนายภุชพงศ์ โนดไธสง เลขาธิการคณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติ (สดช.)

ดังนั้น “PDPA” ถือว่าเป็นกฎหมายที่ทุกคนควรทราบ และตระหนักรู้ถึงสิทธิในข้อมูลส่วนบุคคลของเรา โดยเฉพาะองค์กรธุรกิจต่างๆ ที่มีการเก็บข้อมูลส่วนบุคคล ของลูกค้า ผู้ใช้งาน หรือพนักงานในองค์กร และเพื่อลดความเสี่ยงที่องค์กรอาจไม่ได้ปฏิบัติตาม PDPA ให้สอดคล้อง ซึ่งจะมีโทษความรับผิดตามมา เห็นแล้วคงจะรู้สึกร้อนๆ หนาวๆ อยู่ไม่น้อย